检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
漏洞(CVE-2024-21626)。由于内部文件描述符泄漏,攻击者可通过控制容器进程的工作目录,或命令路径,将其设置为文件描述符的父级目录下的路径,读写主机任意文件,实现容器逃逸。 表1 漏洞信息 漏洞名称 CVE-ID 漏洞级别 披露/发现时间 runC漏洞 CVE-2024-21626
漏洞公告 HTTP/2协议拒绝服务漏洞公告(CVE-2023-4487) runC漏洞对UCS服务的影响说明(CVE-2024-21626)
表1 漏洞信息 漏洞名称 CVE-ID 漏洞级别 披露/发现时间 HTTP/2 协议拒绝服务漏洞 CVE-2023-44487 高 2023-10-10 漏洞影响 此漏洞为拒绝服务类型漏洞,不影响数据安全,但恶意攻击者可能通过此漏洞造成服务器拒绝服务,导致服务器宕机。 漏洞修复方案
使用ucs-ctl命令行工具管理本地集群 ucs-ctl是管理UCS本地集群的命令行工具,它仅适用于UCS本地集群。 在使用ucs-ctl工具前,为防止您执行被篡改的ucs-ctl工具,请先进行工具的完整性校验,具体操作请参考安装及验证章节的ucs-ctl工具完整性校验操作步骤。 表1
管理本地集群节点 本小节介绍如何通过ucs-ctl工具管理本地集群节点。 ucs-ctl是管理UCS本地集群的命令行工具,ucs-ctl的详细介绍请参见使用ucs-ctl命令行工具管理本地集群。 纳管节点 在执行机上使用./ucs-ctl config generator -t node
不使用的软件包不允许存在系统中 遵循最小化安装原则,只安装业务需要的软件包与服务组件。减少系统漏洞,降低系统遭受攻击风险。 用于生产环境的系统中不允许保留开发和编译工具 系统中不允许存在如下开发工具和编译工具: 'cpp' (/usr/bin/cpp) 'gcc' (/usr/bin/gcc)
exe。 根据容器迁移准备工作章节的要求,准备一台服务器并上传kspider工具,然后进行解压缩。在kspider工具所在目录下执行./kspider-linux-amd64 -h,您可以查看该工具的使用方法。 -k, --kubeconfig:指定kubectl的KubeConfig位置,默认是$HOME/
exe。 根据容器迁移准备工作章节的要求,准备一台服务器并上传kspider工具,然后进行解压缩。在kspider工具所在目录下执行./kspider-linux-amd64 -h,您可以查看该工具的使用方法。 -k, --kubeconfig:指定kubectl的KubeConfig位置,默认是$HOME/
exe。 根据容器迁移准备工作章节的要求,准备一台服务器并上传kspider工具,然后进行解压缩。在kspider工具所在目录下执行./kspider-linux-amd64 -h,您可以查看该工具的使用方法。 -k, --kubeconfig:指定kubectl的KubeConfig位置,默认是$HOME/
exe。 根据容器迁移准备工作章节的要求,准备一台服务器并上传kspider工具,然后进行解压缩。在kspider工具所在目录下执行./kspider-linux-amd64 -h,您可以查看该工具的使用方法。 -k, --kubeconfig:指定kubectl的KubeConfig位置,默认是$HOME/
迁移过程已实现工具化。您需要预先下载这些工具并将它们上传到前述服务器。 对于Linux操作系统来说,使用下述工具前,需要运行chmod u+x 工具名命令(例如chmod u+x kspider-linux-amd64),授予可执行权限。 表1 准备工作 工具 说明 下载链接 备注
创建终端节点以私网接入本地集群 应用场景 用户在线下IDC有kubernetes集群,接入到UCS开启容器智能分析服务,能够与SWR、OBS通信,在无法通过公网连接的情况下,可以先通过VPN与华为云VPC连接,然后通过VPC终端节点服务,让VPC能够在内网访问UCS、SWR、DNS、OBS、CIA。
图1 工作负载详情页 编辑YAML 可通过在线YAML编辑窗对无状态工作负载、有状态工作负载、守护进程集、定时任务和容器组的YAML文件进行修改和下载。普通任务的YAML文件仅支持查看、复制和下载。本文以无状态工作负载为例说明如何在线编辑YAML。 登录UCS控制台,进入一个已
业发展趋势,但是与此同时也面临着多种挑战。 挑战一:传统稳态业务资源利用率不高,基础资源无法有效整合。 挑战二:弹性能力不足,无法满足大量在线用户并发接入,网络时延较高。 挑战三:涉及业务种类繁多,集群部署分散,运维管理困难。 优势 UCS平台将边缘云、IDC、华为云资源有机整合
流量治理要解决的问题类似如下: 动态修改服务间访问的负载均衡策略,比如配置一致性哈希将流量转发到特定的服务实例上。 同一个服务有两个版本在线,将一部分流量切到某个版本上。 服务保护,如限制并发连接数、限制请求数、隔离有故障的服务实例等。 动态修改服务中的内容,或者模拟一个服务运行故障等。
当一个资源向该资源所在服务器的不同的域发起请求时,就会产生一个跨域的HTTP请求。出于安全原因,浏览器会限制从脚本发起的跨域HTTP请求。通过跨域资源共享CORS机制可允许Web应用服务器进行跨域访问控制,使跨域数据传输安全进行。 YAML设置如下: apiVersion: networking.istio.io/v1beta1
KubeConfig文件中包含访问注册Kubernetes集群所需要的认证凭据以及Endpoint(访问地址),通常与kubectl命令行工具或其他客户端结合使用。详细介绍可参见Kubernetes文档。 本章节将指导您获取集群的KubeConfig文件,由于各集群提供商的Kub
ctl使用KubeConfig来获取集群的信息并与API server进行通信。 获取本地集群的KubeConfig需要使用ucs-ctl工具,获取步骤如下: 使用ucs-ctl获取集群名称。 ./ucs-ctl get cluster 使用ucs-ctl导出指定集群的KubeConfig。
创建配置集合 背景 Podinfo是一个微模型的Web应用程序,它展示了在Kubernetes中运行微服务的最佳实践,其主要用作于测试和研讨。本章将用podinfo源代码来做创建配置集合的示例。 为了可以更快的、更稳定的持续地交付软件、减少后续维护工作,所以将podinfo的源代
流量策略概述 流量策略要解决的问题类似如下: 动态修改服务间访问的负载均衡策略,比如配置一致性哈希将流量转发到特定的服务实例上; 同一个服务有两个版本在线,将一部分流量切到某个版本上; 服务保护,如限制并发连接数、限制请求数、隔离有故障的服务实例等; 动态修改服务中的内容,或者模拟一个服务运行故障等。